Kubernetes Security

Deutsch
Dieser Vortrag wird auf Deutsch gehalten. / This Talk will be held in German.

Die Arbeit mit Kubernetes ist mit der Komplexität eines Rechenzentrums vergleichbar. Dadurch ergeben sich zwangsläufig Risiken bei der Sicherheit.

Eingebaute Features wie Auditlogs, PodSecurityPolicies, NetworkPolicies aber auch Service Meshes erlauben Sicherheitseinstellungen in verteilten Applikationen. Demgegenüber stehen aber häufig veraltete Dokumentationen von Cloudanbietern, die zu Gefahren durch bekannte Exploits führen können.

Es ist Zeit, die Containerwelt mit dem Blick von Systemengineers zu betrachten und vermeidbare Fehler abzustellen.

Der 3-tägige Kurs gibt einen Überblick über die wichtigsten Sicherheitsfeatures in Kubernetes.

Welche Probleme treten auf und wie lassen sie sich lösen?


  • Es werden Grundkenntnisse in Kubernetes vorausgesetzt, wie sie üblicherweise in praktischer Arbeit in den ersten Wochen erworben werden.
  • Ein Laptop mit mindestens 16 GB RAM, eine schnelle Internetverbindung oder Zugang zu einem Kubernetes Cluster in der Cloud.


  • Teilnehmende sollen einen Überblick über die Security in Kubernetes gewinnen.
  • Sie sollen in die Lage versetzt werden, die Sicherheit eines Clusters grundsätzlich bewerten und die wichtigsten Fehler vermeiden zu können.
  • Sie sollen sichere von unsicheren Architekturen unterscheiden können und eine Standard-Applikation sicher deployen und betreiben können.

3 Tage (30.11.-2.12.2021.) jeweils 9.00 bis ca. 17:00 Uhr (inkl. je 3 Pausen)

Tag 1: Einführung
  • Wiederholung der Grundlagen
  • Was läuft in meinen Cluster?
  • Das Linux Erbe: Linux Namespaces, Capabilities, SecComp, Selinux und Apparmor
  • Container und Virtualisierung
  • Container Runtimes: mehr als Docker
  • Pods, Daemonsets und Statefullsets
Architektur
  • Die häufigsten Fehler
  • Container Patterns, Entwurf von Containern mit Security im Hinterkopf
  • Sichere Architektur: Braucht eine Applikation Privilegien?
  • Datenbanken in Kubernetes
  • Zugriff auf das Host Filesystem
  • Standards (BSI, Nist, CIS)
  • Container Images
  • SecDevOps in sicheren Umgebungen
  • Einrichtung von Filtern
Tag 2: Netzwerke
  • Services
  • Ingress als Netzwerklayer
  • Transportlayer Security und Secrets
  • Network Policies
  • Verteilte Firewalls
  • Wann braucht man Service Meshes?
Tag 3: Kubernetes härten
  • Pod Security Policies
  • Admission Controller, Open Policy Agent
  • Rollen und RBAC (Role Based Access Control)
  • Audit Logs
  • Was darf ein Pod?
Distributionen
  • Cloud Anbieter
  • On Premises
  • Bewertungskriterien

Thomas Fricke
Thomas Fricke
beschäftigt sich sich seit sieben Jahren mit Containern und Kubernetes, seit 30 mit Linux und Netzen und seit 40 mit Computern. Sein Schwerpunkt liegt auf Security in Kritis-Umgebungen (Energie, Gesundheit) und den dabei notwendigen agilen Transformationen. Er ist Freiberufler, Gründer (Endocode, Resility) und ehrenamtlich in verschiedenen Gremien aktiv, u.a. dem IT.Planungsrat.

CLC-Newsletter

Du möchtest über die CLC auf dem Laufenden gehalten werden?

Anmelden